恶意软件(有时称为恶意软件)是通过恶意软件分析过程进行检查和理解的。当黑客利用恶意软件未经授权访问计算机、窃取有价值的信息或损害计算机系统时,这种技术对于识别和减轻网络风险至关重要。
主要有两种类型的分析技术:
静态分析:检查尚未触发的恶意软件。这种方法允许我们识别库和硬编码字符串。某个恶意文件正在使用。
动态分析:通过执行来调查恶意软件。该技术使我们能够确定哪些进程、线程和 HTTP 请求是由感染产生的。
流程的执行和任何伴随的活动(例如文件和网络流量)可以由分析师使用ProcDOT直观地绘制出来。该应用程序使用可视化方法显示这些数据,使分析人员更容易发现可疑活动并了解恶意软件的功能。
工具要求
始终使用虚拟机来测试恶意软件
代码语言:javascript复制ProcDOT:https://www.procdot.com/downloadprocdotbinaries.htm
WinDump:https://www.winpcap.org/windump/install/default.htm
Graphviz:https://graphviz.org/download/
Process Monitor:https://learn.microsoft.com/en-us/sysinternals/downloads/procmonProcDot的配置
使用真实恶意软件测试
恶意软件样本下载:
代码语言:javascript复制https://www.malware-traffic-analysis.net/2022/08/10/index.html
设置ProcMon
选择线程ID并取消选择序列号(如果选择)
选择已解析的网络地址
现在运行任何数据包捕获软件,我是用Wireshark来做的。
启动恶意软件,同时密切关注后台程序procmon和wireshark。
以CSV格式保存procmon的日志文件。
一段时间后,将Wireshark现在捕获的数据包保存为ProcDot允许的.txt格式。
选择ProcDot中的procmon日志文件,然后选择您要查看的恶意进程。选择受感染进程后,再选择之前在Wireshark保存的TXT pcap文件。
对于图形视图,请按照下列步骤操作:
代码语言:javascript复制点击“刷新”
等待几秒钟以显示图表。该图将提供恶意进程执行的所有进程、子进程、注册表编辑和其他更改的全面视图。
通过分析这份详细报告,您可以更好地了解恶意进程的运行方式及其造成的损害程度。
此外,这些信息还可用于开发和实施更有效的安全措施,以防止将来发生类似的攻击。
在上图中,我们可以看到恶意进程创建了新的子进程,然后连接到某个随机IP地址
收集详细信息后,我们可以查看 pcap 以查看数据包中共享的详细信息
让我们在Virustotal上查看IP详细信息以了解信誉
IP是干净的,让我们看看社区对此IP的评价:
因此,微软IP意味着它是安全的,但我们可以看到在图表或pcap文件中发现的所有IP地址。
让我们看看该恶意软件创建或删除的所有文件
借助这项技术,我们能够实时动态检查系统或网络架构中恶意软件的行为。通过这样做,我们可以更有效地检测和响应威胁,最终提高组织的安全性。
此外,通过分析恶意软件行为获得的见解可用于加强我们的整体安全态势,识别潜在的漏洞和需要改进的领域。
这项技术为我们提供了对抗网络威胁的强大工具,使我们能够领先攻击者一步并保护我们的关键资产。
